第五章身份認(rèn)證與訪問控制

身份認(rèn)證與訪問控制提綱5.1身份認(rèn)證技術(shù)概述5.2基于口令的身份認(rèn)證5.3Kerberos身份認(rèn)證協(xié)議5.4基于X509的身份認(rèn)證5.5基于生物特征的身份認(rèn)證5.1身份認(rèn)證簡(jiǎn)介5.1.1身份認(rèn)證的需求5.1.2身份認(rèn)證的基本模型5.1.3身份認(rèn)證的途徑5.1.4常用的身份認(rèn)證技術(shù)認(rèn)證的基本原理在現(xiàn)實(shí)生活中，我們個(gè)人的身份主要是通過各種證件來確認(rèn)的，比如：身份證、戶口本等。認(rèn)證是對(duì)網(wǎng)絡(luò)中的主體進(jìn)行驗(yàn)證的過程，用戶必須提供他是誰的證明，他是某個(gè)雇員，某個(gè)組織的代理、某個(gè)軟件過程（如交易過程）。認(rèn)證(authentication)是證明一個(gè)對(duì)象的身份的過程。與決定把什么特權(quán)附加給該身份的授權(quán)(authorization)不同。三種方法驗(yàn)證主體身份1）只有該主體了解的秘密，如口令、密鑰；2）主體攜帶的物品，如智能卡和令牌卡；3）只有該主體具有的獨(dú)一無二的特征或能力，如指紋、聲音、視網(wǎng)膜圖或簽字等。注意：?jiǎn)为?dú)用一種方法進(jìn)行認(rèn)證不充分身份認(rèn)證系統(tǒng)架構(gòu)認(rèn)證服務(wù)器(AuthenticationServer)

負(fù)責(zé)進(jìn)行使用者身份認(rèn)證的工作，服務(wù)器上存放使用者的私有密鑰、認(rèn)證方式及其他使用者認(rèn)證的信息。認(rèn)證系統(tǒng)用戶端軟件(AuthenticationClientSoftware)

認(rèn)證系統(tǒng)用戶端通常都是需要進(jìn)行登陸(login)的設(shè)備或系統(tǒng)，在這些設(shè)備及系統(tǒng)中必須具備可以與認(rèn)證服務(wù)器協(xié)同運(yùn)作的認(rèn)證協(xié)定。認(rèn)證設(shè)備(Authenticator)

認(rèn)證設(shè)備是使用者用來產(chǎn)生或計(jì)算密碼的軟硬件設(shè)備。網(wǎng)絡(luò)環(huán)境下對(duì)身份認(rèn)證的需求唯一的身份標(biāo)識(shí)（ID）:uid，uid@domainDN:C=CN/S=Beijing/O=TsinghuaUniversity/U=CS/CN=DuanHaixin/Email=dhx@抗被動(dòng)的威脅（竊聽），口令不在網(wǎng)上明碼傳輸源目的sniffer網(wǎng)絡(luò)環(huán)境下對(duì)身份認(rèn)證的需求抵抗主動(dòng)的威脅，比如阻斷、偽造、重放,網(wǎng)絡(luò)上傳輸?shù)恼J(rèn)證信息不可重用加密解密passwd$%@&)*=-~`^,{網(wǎng)絡(luò)環(huán)境下對(duì)身份認(rèn)證的需求雙向認(rèn)證域名欺騙、地址假冒等路由控制單點(diǎn)登錄（SingleSign-On）用戶只需要一次認(rèn)證操作就可以訪問多種服務(wù)可擴(kuò)展性的要求身份認(rèn)證的基本途徑基于你所知道的（Whatyouknow）知識(shí)、口令、密碼基于你所擁有的（Whatyouhave）身份證、信用卡、鑰匙、智能卡、令牌等基于你的個(gè)人特征（Whatyouare）指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜雙因素、多因素認(rèn)證身份認(rèn)證的基本模型申請(qǐng)者（Claimant）驗(yàn)證者（Verifier）認(rèn)證信息AI（AuthenticationInformation）可信第三方(TrustedThirdParty)申請(qǐng)AI驗(yàn)證AI申請(qǐng)AI驗(yàn)證AI交換AI常用的身份認(rèn)證技術(shù)/協(xié)議簡(jiǎn)單口令認(rèn)證質(zhì)詢/響應(yīng)認(rèn)證一次性口令認(rèn)證（OTP）Kerberos認(rèn)證基于公鑰證書的身份認(rèn)證基于生物特征的身份認(rèn)證提綱5.1身份認(rèn)證技術(shù)概述5.2基于口令的身份認(rèn)證5.3Kerberos身份認(rèn)證協(xié)議5.4基于X509的身份認(rèn)證5.5基于生物特征的身份認(rèn)證5.2基于口令的身份認(rèn)證5.2.1安全與不安全的口令5.2.2質(zhì)詢/響應(yīng)認(rèn)證

（Challenge/Response）5.2.3一次性口令（OTP）5.2.4口令的管理安全與不安全的口令1安全的口令

UNIX系統(tǒng)口令密碼都是用8位(新的是13位)DES算法進(jìn)行加密的，即有效密碼只有前8位，所以一味靠密碼的長(zhǎng)度是不可以的。安全的口令要求：

1)位數(shù)>6位。

2)大小寫字母混合。

3)字母與數(shù)字混合。

4)口令有字母、數(shù)字以外的符號(hào)。不安全的口令則有如下幾種情況：

(1)使用用戶名（帳號(hào)）作為口令。

(2)使用用戶名（帳號(hào)）的變換形式作為口令。將用戶名顛倒或者加前后綴作為口令，比如說著名的黑客軟件John，如果你的用戶名是fool，那么它在嘗試使用fool作為口令之后，還會(huì)試著使用諸如fool123、loof、loof123、lofo等作為口令，只要是你想得到的變換方法，John也會(huì)想得到。(3)使用自己或者親友的生日作為口令。這種口令很脆弱，因?yàn)檫@樣往往可以得到一個(gè)6位或者8位的口令，但實(shí)際上可能的表達(dá)方式只有100×12×31=37200種。

第七講認(rèn)證

(4)使用常用的英文單詞作為口令。這種方法比前幾種方法要安全一些。一般用戶選擇的英文單詞幾乎都落在黑客的字典庫里。(5)使用5位或5位以下的字符作為口令。加強(qiáng)口令安全的措施：A、禁止使用缺省口令。B、定期更換口令。C、保持口令歷史記錄，使用戶不能循環(huán)使用舊口令。D、用口令破解程序測(cè)試口令。第七講認(rèn)證基于智能卡的身份認(rèn)證

1、智能卡的安全性IC卡是英文IntegratedCirtuit（集成電路）卡的縮寫，也稱“MEMORYCARD”和“SMARTCARD”，中文譯作“聰明卡”、“智慧卡”和“智能卡”等。這種集成電路卡，是隨著半導(dǎo)體技術(shù)的發(fā)展以及社會(huì)對(duì)信息的安全性和存儲(chǔ)容量要求的日益提高而應(yīng)運(yùn)而生的。它是一種將具有加密、存儲(chǔ)、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片，它的外型與普通的信用卡十分相似，具體尺寸為：長(zhǎng)：85.6mm、寬：54mm、厚：0.8mmIC卡可簡(jiǎn)單地分為三種類型：存儲(chǔ)卡、邏輯加密卡、CPU卡。第七講認(rèn)證IC卡優(yōu)點(diǎn)：存儲(chǔ)容量大、體積小而輕、保密性強(qiáng)、網(wǎng)絡(luò)要求低數(shù)據(jù)可靠性高IC卡防磁、防靜電、防潮、耐溫、抗干擾能力強(qiáng)，一張IC卡片可重復(fù)讀寫十萬次，卡中數(shù)據(jù)可保存幾十年。IC卡讀寫操作通過電信號(hào)傳輸來完成，因而對(duì)計(jì)算機(jī)的實(shí)時(shí)性、敏感性要求降低。內(nèi)部數(shù)據(jù)保密性、可靠性好，讀寫穩(wěn)定可脫機(jī)工作，易于安裝維護(hù)，而磁卡系統(tǒng)離不開網(wǎng)絡(luò)；第七講認(rèn)證2、智能卡技術(shù)規(guī)范1）ISO7816描述智能卡底層接口標(biāo)準(zhǔn)，定義讀卡器和智能卡之間如何傳遞字節(jié)流。此標(biāo)準(zhǔn)主要是定義了塑料基片的物理和尺寸特性(7816/1)，觸點(diǎn)的尺寸和位置(7816/2)，信息交換的底層協(xié)議描述(7816/3)，7816/4論述了跨行業(yè)的命令集。2）PC/SC(PersonalComputer/SmartCard)工作組

Microsoft聯(lián)合其它幾家公司推出了稱為PC/SC的智能卡應(yīng)用程序標(biāo)準(zhǔn)，用于Win32平臺(tái)的個(gè)人計(jì)算機(jī)與智能卡之間實(shí)現(xiàn)互通信。PC/SC工作組于1996年五月成立，目的在于規(guī)范一個(gè)開放的Windows接口。PC/SC工作組持有對(duì)PC-ICC互操作規(guī)范的所有權(quán)。第七講認(rèn)證3）OpenCard框架由IBM，Netscape，NCI和Sun在1997年3月27日提出的用于網(wǎng)絡(luò)環(huán)境的智能應(yīng)用框架。目的是支持智能卡應(yīng)用程序在網(wǎng)絡(luò)計(jì)算機(jī)、PC機(jī)、ATM和GSM平臺(tái)上實(shí)現(xiàn)應(yīng)用互操作。OpenCard

還提供了到PC/SC的接口。4）JavaCard論壇1996年10月推出了JavaCardAPI規(guī)范，目前版本為2.1.1，1997年4月27日，JavaCard論壇正式宣布成立。JavaCard論壇的成立目的是完善JavaCardAPI規(guī)范，使之最終成為多應(yīng)用智能卡的首選編程語言。第七講認(rèn)證JavaCard就是能夠運(yùn)行Java程序的智能卡。JavaCard在出廠時(shí)就在ROM中燒入了操作系統(tǒng)、JavaCard虛擬機(jī)、API類庫和可選的applets，隨后，初始化和個(gè)人化向EEPROM中寫入數(shù)據(jù)。所謂JavaCard規(guī)范，主要是定義了Java作為一種獨(dú)立于平臺(tái)的編程技術(shù)在智能卡上的應(yīng)用。JavaCardAPI與正式的國(guó)際標(biāo)準(zhǔn)（如ISO7816）和工業(yè)規(guī)范標(biāo)準(zhǔn)（如Europay/MasterCard/Visa）兼容。也就是說Javaapplet能夠直接運(yùn)行在遵循ISO7816標(biāo)準(zhǔn)的智能卡之上。第七講認(rèn)證質(zhì)詢/握手認(rèn)證協(xié)議（CHAP）ChallengeandResponseHandshakeProtocolClient和Server共享一個(gè)密鑰Login,IDcIDc,RIDc,MACcMAC=H(R,K)sMAC’=H(R,K)比較MAC’和MACOK/DisconnectMAC的計(jì)算可以基于Hash算,對(duì)稱密鑰算法，公開密鑰算法質(zhì)疑第七講認(rèn)證3、基于智能卡的認(rèn)證機(jī)制在基于Web的電子商務(wù)應(yīng)用中，Javaapplet與智能卡之間的通信是：應(yīng)用程序與讀卡器通信，而讀卡器將使用上面介紹的標(biāo)準(zhǔn)與智能卡通信。在用戶進(jìn)行商務(wù)交易前，服務(wù)器首先使用智能卡完成用戶身份的認(rèn)證。身份認(rèn)證過程中為了產(chǎn)生變動(dòng)的密碼一般采用雙運(yùn)算因子的計(jì)算方式，也就是加密算法的輸入值有兩個(gè)數(shù)值，其一為用戶密鑰、另一為變動(dòng)因子，由于用戶密鑰為固定數(shù)值，因此變動(dòng)因子必須不斷變動(dòng)才可以算出不斷變動(dòng)的動(dòng)態(tài)密碼。服務(wù)器及智能卡必須隨時(shí)保持相同的變動(dòng)因子，才能算出相同的動(dòng)態(tài)密碼。第七講認(rèn)證詢問/應(yīng)答認(rèn)證過程

變動(dòng)因子是由服務(wù)器產(chǎn)生的隨機(jī)數(shù)字。認(rèn)證過程如下：1）登錄請(qǐng)求?？蛻魴C(jī)首先向服務(wù)器發(fā)出登錄請(qǐng)求，服務(wù)器提示用戶輸入用戶ID和PIN。2）詢問。用戶提供ID給服務(wù)器，然后服務(wù)器提供一個(gè)隨機(jī)串X（Challenge）給插在客戶端的智能卡作為驗(yàn)證算法的輸入，服務(wù)器則根據(jù)用戶ID取出對(duì)應(yīng)的密鑰K后，利用發(fā)送給客戶機(jī)的隨機(jī)串X，在服務(wù)器上用加密引擎進(jìn)行運(yùn)算，得到運(yùn)算結(jié)果RS。第七講認(rèn)證3）應(yīng)答。智能卡根據(jù)X與內(nèi)在密鑰K使用硬件加密引擎運(yùn)算，也得到一個(gè)運(yùn)算結(jié)果RC，并發(fā)送給服務(wù)器。4）驗(yàn)證。比較RS和RC便可確定用戶的合法性。由于密鑰存在于智能卡中，運(yùn)算過程也是在智能卡中完成，密鑰認(rèn)證是通過加密算法來實(shí)現(xiàn)的，因而極大地提高了安全性。并且每當(dāng)客戶端有一次服務(wù)申請(qǐng)時(shí)，服務(wù)器便產(chǎn)生一個(gè)隨機(jī)串給客戶，即使在網(wǎng)上傳輸?shù)恼J(rèn)證數(shù)據(jù)被截獲，也不能帶來安全上的問題。一次性口令（OTP：OneTimePassword）在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都不相同，以對(duì)付重放攻擊。確定口令的方式：1）聲稱者與驗(yàn)證者兩端共同擁有一串隨機(jī)口令，在該串的某一位置保持同步。用于人工控制環(huán)境中。2）兩端共同使用一個(gè)隨機(jī)序列生成器，在序列生成器的初態(tài)保持同步。3）使用時(shí)戳，兩端維持同步的時(shí)鐘。一次性口令認(rèn)證（OTP）S/KeySecurIDTokenServerchallengeOTPPassphrase+

challengeOTP/rfcs/rfc1760.html/rfc/rfc2289.txtOTPID口令管理口令管理

口令屬于“他知道什么”這種方式，容易被竊取。口令的錯(cuò)誤使用：選擇一些很容易猜到的口令；把口令告訴別人；把口令寫在一個(gè)貼條上并把它貼在鍵盤旁邊?？诹罟芾淼淖饔茫荷闪撕线m的口令口令更新能夠完全保密

口令管理口令的要求：包含一定的字符數(shù)；和ID無關(guān)；包含特殊的字符；大小寫；不容易被猜測(cè)到。跟蹤用戶所產(chǎn)生的所有口令，確保這些口令不相同，定期更改其口令。使用字典式攻擊的工具找出比較脆弱的口令。許多安全工具都具有這種雙重身份：網(wǎng)絡(luò)管理員使用的工具：口令檢驗(yàn)器攻擊者破獲口令使用的工具：口令破譯器

口令管理口令產(chǎn)生器

不是讓用戶自己選擇口令，口令產(chǎn)生器用于產(chǎn)生隨機(jī)的和可拼寫口令。

口令的時(shí)效

強(qiáng)迫用戶經(jīng)過一段時(shí)間后就更改口令。系統(tǒng)還記錄至少5到10個(gè)口令，使用戶不能使用剛剛使用的口令。限制登錄次數(shù)

免受字典式攻擊或窮舉法攻擊

提綱5.1身份認(rèn)證技術(shù)概述5.2基于口令的身份認(rèn)證5.3Kerberos身份認(rèn)證協(xié)議5.4基于X509的身份認(rèn)證5.5基于生物特征的身份認(rèn)證5.3Kerberos認(rèn)證技術(shù)4.3.1Kerberos簡(jiǎn)介4.3.2KerberosV44.3.3KerberosV54.3.4Kerberos缺陷Kerberos簡(jiǎn)介Kerberos麻省理工學(xué)院為Athena項(xiàng)目開發(fā)的一個(gè)認(rèn)證服務(wù)系統(tǒng)目標(biāo)是把UNIX認(rèn)證、記帳、審計(jì)的功能擴(kuò)展到網(wǎng)絡(luò)環(huán)境：公共的工作站，只有簡(jiǎn)單的物理安全措施集中管理、受保護(hù)的服務(wù)器多種網(wǎng)絡(luò)環(huán)境，假冒、竊聽、篡改、重發(fā)等威脅基于Needham-Schroeder認(rèn)證協(xié)議，可信第三方基于對(duì)稱密鑰密碼算法,實(shí)現(xiàn)集中的身份認(rèn)證和密鑰分配,通信保密性、完整性一、Kerberos簡(jiǎn)介

第七講

Kerberos認(rèn)證

Kerberos：希臘神話“三個(gè)頭的狗——地獄之門守護(hù)者”希望有三個(gè)功能：身份認(rèn)證、記賬、審核。Kerberos針對(duì)分布式環(huán)境，一些工作站可能安裝于不安全場(chǎng)所，而且用戶也并非是完全可信的?？蛻粼诘卿洉r(shí)，需要認(rèn)證。用戶必須獲得由認(rèn)證服務(wù)器發(fā)行的許可證，才能使用目標(biāo)服務(wù)器上的服務(wù)。許可證提供被認(rèn)證的用戶訪問一個(gè)服務(wù)時(shí)所需的授權(quán)資格。所有客戶和服務(wù)器間的會(huì)話都是暫時(shí)的。

第七講

Kerberos認(rèn)證1、Kerberos的產(chǎn)生背景在網(wǎng)絡(luò)系統(tǒng)中，用戶需要從多臺(tái)計(jì)算機(jī)得到服務(wù)，控制訪問的方法有三種：a.)認(rèn)證工作由用戶登錄的計(jì)算機(jī)來管理，服務(wù)程序不負(fù)責(zé)認(rèn)證，這對(duì)于封閉式網(wǎng)絡(luò)是可行的方案。b.)收到服務(wù)請(qǐng)求時(shí)，對(duì)發(fā)來請(qǐng)求的主機(jī)進(jìn)行認(rèn)證，對(duì)每臺(tái)認(rèn)證過的主機(jī)的用戶不進(jìn)行認(rèn)證。例：rlogin和rsh

程序。半開放系統(tǒng)可用此方法。每個(gè)服務(wù)選擇自己信任的計(jì)算機(jī)，在認(rèn)證時(shí)檢查主機(jī)地址來實(shí)現(xiàn)認(rèn)證。第七講

Kerberos認(rèn)證C)在開放式系統(tǒng)中，主機(jī)不能控制登錄它的每一個(gè)用戶，另外有來自系統(tǒng)外部的假冒等情況發(fā)生，以上兩種方法都不能保證用戶身份的真實(shí)性，必須對(duì)每一個(gè)服務(wù)請(qǐng)求，都要認(rèn)證用戶的身份。開放式系統(tǒng)的認(rèn)證的要求：1.)安全性：沒有攻擊的薄弱環(huán)節(jié)。2.)可靠性：認(rèn)證服務(wù)是其他服務(wù)的基礎(chǔ)，要可靠，不能癱瘓。3.)透明性：用戶覺察不到認(rèn)證服務(wù)，只是輸入口令。4.)可擴(kuò)展性：支持加入更多的服務(wù)器。第七講

Kerberos認(rèn)證2、什么是KerberosKerberos：為網(wǎng)絡(luò)通信提供可信第三方服務(wù)的面向開放系統(tǒng)的認(rèn)證機(jī)制.每當(dāng)用戶C申請(qǐng)得到某服務(wù)程序S的服務(wù)時(shí)，用戶和服務(wù)程序會(huì)首先向Kerberos要求認(rèn)證對(duì)方的身份，認(rèn)證建立在用戶和服務(wù)程序?qū)erberos信任基礎(chǔ)上。在申請(qǐng)認(rèn)證時(shí)，C和S都是Kerberos認(rèn)證服務(wù)的用戶，為了和其它服務(wù)的用戶區(qū)別，Kerberos用戶統(tǒng)稱為當(dāng)事人(principle)，principle可以是用戶或者某項(xiàng)服務(wù)。第七講

Kerberos認(rèn)證當(dāng)用戶登錄到工作站時(shí)，Kerberos對(duì)用戶進(jìn)行初始認(rèn)證，此后用戶可以在整個(gè)登錄時(shí)間得到相應(yīng)的服務(wù)。Kerberos不依賴用戶的終端或請(qǐng)求服務(wù)的安全機(jī)制，認(rèn)證工作由認(rèn)證服務(wù)器完成。時(shí)間戳技術(shù)被應(yīng)用于防止重放攻擊。

Kerberos保存當(dāng)事人及其密鑰的數(shù)據(jù)庫。共享密鑰只被當(dāng)事人和Kerberos知道，當(dāng)事人在登記時(shí)與Kerberos商定。使用共享密鑰，Kerberos可以創(chuàng)建消息使一個(gè)當(dāng)事人相信另一個(gè)當(dāng)事人的真實(shí)性。Kerberos還產(chǎn)生一種臨時(shí)密鑰，稱做對(duì)話密鑰，通信雙方用在具體的通信中。第七講

Kerberos認(rèn)證Kerberos提供三種安全等級(jí)。1)只在網(wǎng)絡(luò)開始連接時(shí)進(jìn)行認(rèn)證，認(rèn)為連接建立起來后的通信是可靠的。認(rèn)證式網(wǎng)絡(luò)文件系統(tǒng)(Authenticatednetworkfilesystem)使用此種安全等級(jí)。2)安全消息傳遞：對(duì)每次消息都進(jìn)行認(rèn)證工作，但是不保證每條消息不被泄露。3)私有消息傳遞：不僅對(duì)每條消息進(jìn)行認(rèn)證，而且對(duì)每條消息進(jìn)行加密。Kerberos在發(fā)送密碼時(shí)就采用私有消息模式。Kerberos身份認(rèn)證過程一個(gè)簡(jiǎn)單的認(rèn)證對(duì)話一個(gè)更加安全的認(rèn)證對(duì)話KerberosV4KerberosV5一個(gè)簡(jiǎn)單的認(rèn)證對(duì)話C和V都必須在AS中注冊(cè)，共享密鑰KC，KV（1）CAS:IDc||Pc||IDV（2）ASC:Ticket（3）CV:IDc||Ticket

Ticket=EKv(IDc||ADc||IDv)ASVC（1）（2）（3）C=Client

AS=AuthenticationServer

V=Server

IDc=identifierofUseronC

IDv=identifierofV

Pc=passwordofuseronC

ADc=networkaddressofC

Kv=secretkeysharedbyeASandV

||=concatention

問題一：明文傳輸口令問題二：每次訪問都要輸

入口令標(biāo)簽一個(gè)更加安全的認(rèn)證對(duì)話認(rèn)證對(duì)話（每次登錄認(rèn)證一次）（1）CAS:IDC||IDtgs（2）ASC:EKc[Ticket

tgs]Tickettgs=EKtgs[IDC||ADC||IDtgs||TS1||Lifetime1]獲取服務(wù)票據(jù)（每種服務(wù)一次）（3）CTGS:IDC||IDv||Tickettgs（4）TGSC:TicketvTicketv=EKv

[IDC||ADC||IDV||TS2||Lifetime2]訪問服務(wù)（每次會(huì)話一次）（5）CV:IDc||TicketvASVC（1）（2）（3）TGS（4）（5）口令沒有在網(wǎng)絡(luò)上傳輸Tickettgs

可重用，用一個(gè)tickettgs可以請(qǐng)求多個(gè)服務(wù)認(rèn)證服務(wù)票據(jù)發(fā)放服務(wù)（TicketGrantingService）票據(jù)（Ticket）是一種臨時(shí)的證書，用tgs

或應(yīng)用服務(wù)器的密鑰加密TGS票據(jù)服務(wù)票據(jù)加密：一個(gè)更加安全的認(rèn)證對(duì)話（Cont.）問題一：票據(jù)許可票據(jù)tickettgs的生存期如果太大，則容易造成重放攻擊如果太短，則用戶總是要輸入口令問題二：如何向用戶認(rèn)證服務(wù)器解決方法增加一個(gè)會(huì)話密鑰(SessionKey)KerberosV4的認(rèn)證過程ASTGS請(qǐng)求tickettgsTickettgs+會(huì)話密鑰請(qǐng)求ticketvTicketv+會(huì)話密鑰請(qǐng)求服務(wù)提供服務(wù)器認(rèn)證符（1）（2）（3）（4）（5）（6）KerberosV4的報(bào)文交換AS交換，獲得Tickettgs

（1）用戶登錄工作站，請(qǐng)求主機(jī)服務(wù)

C→AS:IDC||IDtgs||TS1

（2）AS在數(shù)據(jù)庫中驗(yàn)證用戶的訪問權(quán)限，生成Tickettgs

和會(huì)話密鑰，用由用戶口令導(dǎo)出的密鑰加密

AS→C:EKc[Kc,tgs

||IDtgs||TS2||Lifetime2||Tickettgs]其中Tickettgs=EKtgs[Kc,tgs||IDC||ADC||IDtgs||TS2||Lifetime2]KerberosV4的報(bào)文交換（2）2.TGS服務(wù)交換，獲得服務(wù)票據(jù)Ticketv

(3)工作站提示用戶輸入口令，用來對(duì)收到的報(bào)文進(jìn)行解密，然后將Tickettgs

以及包含用戶名稱、網(wǎng)絡(luò)地址和事件的認(rèn)證符發(fā)給TGSC→TGS:IDV||Tickettgs||Authenticatorc

Authenticatorc=EKc,tgs[IDc||ADc||TS3]

Tickettgs=EKtgs[Kc,tgs||IDC||ADC||IDtgs||TS2||Lifetime2]（4）TGS對(duì)票據(jù)和認(rèn)證符進(jìn)行解密，驗(yàn)證請(qǐng)求，然后生成服務(wù)許可票據(jù)TicketvTGS→C:EKc,tgs[Kc,v||IDV||TS4||Ticketv]

Ticketv=EKv[Kc,v||IDC||ADC||IDv||TS4||Lifetime4]KerberosV4的報(bào)文交換（3）3.客戶戶/服務(wù)器認(rèn)證交換：獲得服務(wù)（5）工作站將票據(jù)和認(rèn)證符發(fā)給服務(wù)器

C→V:Ticketv||Authenticatorc

Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4]

Authenticatorc=EKc,v[IDc||ADc||TS5]（6）服務(wù)器驗(yàn)證票據(jù)Ticketv和認(rèn)證符中的匹配，然后許可訪問服務(wù)。如果需要雙向認(rèn)證，服務(wù)器返回一個(gè)認(rèn)證符

V→C:EKc,v

[TS5+1]

多管理域環(huán)境下的認(rèn)證ClientASTGSKerberosASTGSKerberosServer1.請(qǐng)求本地Tickettgs2.本地Tickettgs3.請(qǐng)求遠(yuǎn)程tickettgs共享密鑰

相互注冊(cè)4.遠(yuǎn)程tickettgs5.請(qǐng)求遠(yuǎn)程服務(wù)ticket6.遠(yuǎn)程服務(wù)ticket7.請(qǐng)求遠(yuǎn)程服務(wù)多域環(huán)境下的認(rèn)證過程KerberosVersion5改進(jìn)version4的環(huán)境缺陷加密系統(tǒng)依賴性：不僅限于DESInternet協(xié)議依賴性:不僅限于IP消息字節(jié)次序Ticket的時(shí)效性AuthenticationforwardingInter-realmauthentication彌補(bǔ)了KerberosV4的不足取消了雙重加密CBC-DES替換非標(biāo)準(zhǔn)的PCBC加密模式每次會(huì)話更新一次會(huì)話密鑰增強(qiáng)了抵抗口令攻擊的能力Kerberos的缺陷對(duì)時(shí)鐘同步的要求較高猜測(cè)口令攻擊基于對(duì)稱密鑰的設(shè)計(jì)，不適合于大規(guī)模的應(yīng)用環(huán)境提綱5.1身份認(rèn)證技術(shù)概述5.2基于口令的身份認(rèn)證5.3Kerberos身份認(rèn)證協(xié)議5.4基于X509的身份認(rèn)證5.5

基于生物特征的身份認(rèn)證5.4基于X509公鑰證書的認(rèn)證5.4.1X.509認(rèn)證框架5.4.2X.509證書5.4.3基于公鑰證書的認(rèn)證過程5.4.4不同管理域的問題X509認(rèn)證框架CertificateAuthority簽發(fā)證書RegistryAuthority驗(yàn)證用戶信息的真實(shí)性Directory用戶信息、證書數(shù)據(jù)庫沒有保密性要求證書獲取從目錄服務(wù)中得到在通信過程中交換DirectoryCARA用戶用戶注冊(cè)簽發(fā)證書、證書回收列表申請(qǐng)簽發(fā)查詢身份認(rèn)證證書的結(jié)構(gòu)algorithmIssueruniquenameAlgorithmsSubjectNameextensionsversionSerialnumberparametersIssuernameNotBefore

NotAfterparametersKeysubjectuniquenameAlgorithms

parameters

Encrypted簽名

算法有效期主體的

公鑰信息V2擴(kuò)展V3擴(kuò)展數(shù)字證書的概念數(shù)字證書（Certificate）是一種數(shù)字標(biāo)識(shí)，數(shù)字證書提供的是網(wǎng)絡(luò)上的身份證明。數(shù)字證書擁有者可以將其證書提供給其他人、Web站點(diǎn)及網(wǎng)絡(luò)資源，以證實(shí)其合法身份，并且與對(duì)方建立加密的、可信的通信。數(shù)字證書采用PKI（PublicKeyInfrastructure）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，利用一對(duì)互相匹配的密鑰進(jìn)行加密和解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰），由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。

當(dāng)發(fā)送一份保密文件時(shí)

1.發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密2.而接收方則使用自己的私鑰解密通過數(shù)字的手段保證加解密過程是一個(gè)不可逆過程，即只有用私有密鑰才能解密，這樣保證信息安全無誤地到達(dá)目的地。形成數(shù)字簽名

1.用戶也可以采用自己的私鑰對(duì)發(fā)送信息加以處理，形成數(shù)字簽名。2.接收方通過驗(yàn)證簽名還可以判斷信息是否被篡改過。

證書種類目前，針對(duì)企業(yè)、個(gè)人、Web站點(diǎn)、VPN、安全E-mail、手機(jī)應(yīng)用等在內(nèi)的數(shù)字證書已經(jīng)將近二十種?？偟膩砜?，應(yīng)用比較廣泛的主要有三類證書——個(gè)人身份證書、企業(yè)身份證書和服務(wù)器身份證書。個(gè)人身份證書——個(gè)人證書中包含證書持有者的個(gè)人身份信息、公鑰及CA的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識(shí)證書持有者的個(gè)人身份。數(shù)字證書和對(duì)應(yīng)的私鑰存儲(chǔ)于Ekey或IC卡中，可用于個(gè)人在網(wǎng)上進(jìn)行合同簽定、定單、錄入審核、操作權(quán)限、支付信息等活動(dòng)中標(biāo)明身份。企業(yè)身份證書——企業(yè)證書中包含企業(yè)身份信息、公鑰及CA的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識(shí)證書持有企業(yè)的身份，可用于網(wǎng)上稅務(wù)申報(bào)、網(wǎng)上辦公系統(tǒng)、網(wǎng)上招標(biāo)投標(biāo)、網(wǎng)上拍賣、網(wǎng)上簽約等多種應(yīng)用系統(tǒng)。服務(wù)器身份證書——服務(wù)器身份證書中包含服務(wù)器信息、公鑰及CA的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識(shí)證書持有服務(wù)器的身份。用于電子商務(wù)應(yīng)用系統(tǒng)中的服務(wù)器軟件向其他企業(yè)和個(gè)人提供電子商務(wù)應(yīng)用時(shí)使用，服務(wù)器軟件作為電子商務(wù)服務(wù)提供者，利用證書機(jī)制保證與其他服務(wù)器或用戶通信的安全性。主要用于網(wǎng)站交易服務(wù)器，目的是保證客戶和服務(wù)器產(chǎn)生與交易支付等信息相關(guān)時(shí)確保雙方身份的真實(shí)性、安全性、可信任度等。證書的結(jié)構(gòu)符號(hào)記法CA<<A>>=CA{V,SN,AI,CA,TA,A,Ap}Y<<A>>表示證書權(quán)威機(jī)構(gòu)Y發(fā)給用戶X的證書Y{I}表示Y對(duì)I的簽名，由I和用Y的私鑰加密的散列碼組成證書的安全性任何具有CA公鑰的用戶都可以驗(yàn)證證書有效性除了CA以外，任何人都無法偽造、修改證書簽名的過程單向認(rèn)證(One-WayAuthentication)AB

A{tA,rA,B,SgnData,EKUb[Kab]}tA:時(shí)間戳

rA:Nonce，用于監(jiān)測(cè)報(bào)文重發(fā)的一個(gè)隨機(jī)序列值SgnData:待發(fā)送的數(shù)據(jù)

EKUb[Kab]:用B的公鑰加密的會(huì)話密鑰B收到數(shù)據(jù)以后，用A的公鑰驗(yàn)證數(shù)字簽名，從而確信的

確是從A發(fā)送來的;通過tA驗(yàn)證時(shí)效性，通過rA驗(yàn)證沒有重發(fā)簽名的過程雙向認(rèn)證(Two-WayAuthentication)AB1.A{tA,rA,B,SgnData,EKUb[Kab]}tA:時(shí)間戳

rA:Nonce，用于監(jiān)測(cè)報(bào)文重發(fā)SgnData:待發(fā)送的數(shù)據(jù)

EKUb[Kab]:用B的公鑰加密的會(huì)話密鑰2.B{tB,rB,A,rA

,SgnData,EKUb[Kba]}簽名的過程三向認(rèn)證(Three-WayAuthentication)AB1.A{tA,rA,B,SgnData,EKUb[Kab]}tA:時(shí)間戳

rA:Nonce，用于監(jiān)測(cè)報(bào)文重發(fā)SgnData:待發(fā)送的數(shù)據(jù)

EKUb[Kab]:用B的公鑰加密的會(huì)話密鑰2.B{tB,rB,A,rA

,SgnData,EKUb[Kba]}3.A{rB}不同信任域的問題如果A無法安全獲得X2的公鑰，則無法驗(yàn)證B的證書X2<<B>>的有效性CA之間的交叉證書A驗(yàn)證B的證書路徑:X2<<B>>,X1<<X2>>X1X2X1<<A>>X2<<B>>ABX1<<X2>>X1<<X1>>X2<<X1>>X2<<X2>>提綱5.1身份認(rèn)證技術(shù)概述5.2基于口令的身份認(rèn)證5.3Kerberos身份認(rèn)證協(xié)議5.4基于X509的身份認(rèn)證5.5基于生物特征的身份認(rèn)證5.5.1生理特征介紹每個(gè)人所具有的唯一生理特征指紋，視網(wǎng)膜，聲音，視網(wǎng)膜、虹膜、語音、面部、簽名等指紋一些曲線和分叉以及一些非常微小的特征；提取指紋中的一些特征并且存儲(chǔ)這些特征信息：節(jié)省資源，快速查詢；手掌、手型手掌有折痕，起皺，還有凹槽；還包括每個(gè)手指的指紋；人手的形狀（手的長(zhǎng)度，寬度和手指）表示了手的幾何特征生理特征介紹（續(xù)）視網(wǎng)膜掃描掃描眼球后方的視網(wǎng)膜上面的血管的圖案；虹膜掃描虹膜是眼睛中位于瞳孔周圍的一圈彩色的部分；虹膜有其獨(dú)有的圖案，分叉，顏色，環(huán)狀，光環(huán)以及皺褶；語音識(shí)別記錄時(shí)說幾個(gè)不同的單詞，然后識(shí)別系統(tǒng)將這些單詞混雜在一起，讓他再次讀出給出的一系列單詞。面部掃描人都有不同的骨骼結(jié)構(gòu)，鼻梁，眼眶，額頭和下顎形狀。生理特征介紹（續(xù)）動(dòng)態(tài)簽名通過簽名產(chǎn)生的電信號(hào)來進(jìn)行識(shí)別；動(dòng)態(tài)鍵盤輸入5.5.2基于生物特征的認(rèn)證系統(tǒng)的誤判第一類錯(cuò)誤：錯(cuò)誤拒絕率(FRR)。第二類錯(cuò)誤：錯(cuò)誤接受率（FAR）。交叉錯(cuò)判率(CER)：FRR=FAR的交叉點(diǎn)CER用來反映系統(tǒng)的準(zhǔn)確度。%安全性FAR(II)FRR(I)CER小結(jié)身份認(rèn)證的途徑質(zhì)詢/響應(yīng)認(rèn)證方式Kerberos認(rèn)證過程X509認(rèn)證框架和認(rèn)證過程作業(yè)簡(jiǎn)述身份認(rèn)證技術(shù)的幾種基本途徑，分別舉例說明用DES,RSA分別設(shè)計(jì)一個(gè)基于咨詢/響應(yīng)的雙向身份協(xié)議Server/Client之間共享密鑰：DES:Client和Server之間共享密鑰KcRSA:公開密鑰KU,私有密鑰KRClient:(KUc

,KRc),Server:(KUs,KRs)Client知道KUs,Server知道KUc

訪問控制概述訪問控制的有關(guān)概念訪問控制的策略和機(jī)制授權(quán)管理訪問控制的概念和目標(biāo)一般概念——

是針對(duì)越權(quán)使用資源的防御措施?；灸繕?biāo)：防止對(duì)任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問。從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶的程序能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對(duì)系統(tǒng)資源的非法使用。訪問控制的作用訪問控制對(duì)機(jī)密性、完整性起直接的作用。對(duì)于可用性，訪問控制通過對(duì)以下信息的有效控制來實(shí)現(xiàn)：（1）誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令（2）誰能夠?yàn)E用資源以達(dá)到占用資源的目的（3）誰能夠獲得可以用于拒絕服務(wù)攻擊的信息主體、客體和授權(quán)客體（Object）：規(guī)定需要保護(hù)的資源，又稱作目標(biāo)（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個(gè)主動(dòng)的實(shí)體，規(guī)定可以訪問該資源的實(shí)體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Authorization)：規(guī)定可對(duì)該資源執(zhí)行的動(dòng)作（例如讀、寫、執(zhí)行或拒絕訪問）。一個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計(jì)算機(jī)上運(yùn)行，并由父主體控制它們。主客體的關(guān)系是相對(duì)的。訪問控制模型基本組成

授權(quán)信息訪問控制與其他安全機(jī)制的關(guān)系認(rèn)證、授權(quán)、審計(jì)（AAA）Log身份認(rèn)證訪問控制審計(jì)授權(quán)（authorization）主體客體訪問控制策略與機(jī)制訪問控制策略:是對(duì)訪問如何控制,如何作出訪問決定的高層指南訪問控制機(jī)制:是訪問控制策略的軟硬件低層實(shí)現(xiàn)訪問控制機(jī)制與策略獨(dú)立，可允許安全機(jī)制的重用安全策略和機(jī)制根據(jù)應(yīng)用環(huán)境靈活使用如何決定訪問權(quán)限用戶分類資源訪問規(guī)則用戶的分類（1）特殊的用戶：系統(tǒng)管理員，具有最高級(jí)別的特權(quán)，可以訪問任何資源，并具有任何類型的訪問操作能力（2）一般的用戶：最大的一類用戶，他們的訪問操作受到一定限制，由系統(tǒng)管理員分配（3）作審計(jì)的用戶：負(fù)責(zé)整個(gè)安全系統(tǒng)范圍內(nèi)的安全控制與資源使用情況的審計(jì)（4）作廢的用戶：被系統(tǒng)拒絕的用戶。資源系統(tǒng)內(nèi)需要保護(hù)的是系統(tǒng)資源：磁盤與磁帶卷標(biāo)遠(yuǎn)程終端信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用數(shù)據(jù)庫中的數(shù)據(jù)應(yīng)用資源訪問規(guī)則規(guī)定若干條件下，可準(zhǔn)許訪問的資源。規(guī)則使用戶與資源配對(duì)，指定該用戶可在該資源上執(zhí)行哪些操作，如只讀、不許執(zhí)行或不許訪問。由系統(tǒng)管理人員來應(yīng)用這些規(guī)則，由硬件或軟件的安全內(nèi)核部分負(fù)責(zé)實(shí)施。訪問控制的一般實(shí)現(xiàn)機(jī)制和方法一般實(shí)現(xiàn)機(jī)制——

基于訪問控制屬性

——〉訪問控制表/矩陣基于用戶和資源分級(jí)（“安全標(biāo)簽”）

——〉多級(jí)訪問控制常見實(shí)現(xiàn)方法——

訪問控制表ACLs（AccessControlLists)

訪問能力表（Capabilities)

授權(quán)關(guān)系表訪問控制矩陣任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對(duì)應(yīng)于用戶，列對(duì)應(yīng)于目標(biāo)，每個(gè)矩陣元素規(guī)定了相應(yīng)的用戶對(duì)應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、實(shí)施行為。訪問控制矩陣按列看是訪問控制表內(nèi)容按行看是訪問能力表內(nèi)容目標(biāo)xR、W、OwnR、W、Own目標(biāo)y目標(biāo)z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W

目標(biāo)用戶

訪問控制表(ACL)

userAOwnRWOuserB

R

OuserCRWOObj1userAOwnRWOuserB

R

OuserCRWOObj1每個(gè)客體附加一個(gè)它可以訪問的主體的明細(xì)表。訪問能力表(CL)

Obj1OwnRWOObj2

R

OObj3

RWOUserA每個(gè)主體都附加一個(gè)該主體可訪問的客體的明細(xì)表。ACL、CL訪問方式比較鑒別方面：二者需要鑒別的實(shí)體不同保存位置不同訪問權(quán)限傳遞ACL:困難，CL：容易訪問權(quán)限回收ACL:容易，CL：困難多數(shù)集中式操作系統(tǒng)使用ACL方法或類似方式由于分布式系統(tǒng)中很難確定給定客體的潛在主體集，在現(xiàn)代OS中CL也得到廣泛應(yīng)用授權(quán)關(guān)系表

UserAOwnObj1UserARObj1UserAWObj1UserAWObj2UserARObj2訪問控制策略自主訪問控制DAC（DiscretionaryAccessControl),基于身份的訪問控制IBAC(IdentityBasedAccessControl)強(qiáng)制訪問控制MAC(Mandatory

AccessControl),基于規(guī)則的訪問控制RBAC（RuleBasedAccessControl）基于角色的訪問控制RBAC(Role-BasedAccessControl)

自主訪問控制強(qiáng)制訪問控制基于角色訪問控制訪問控制訪問控制的一般策略自主訪問控制特點(diǎn)：根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體。靈活性高，被大量采用。缺點(diǎn)：信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變。如用戶A可將其對(duì)目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問權(quán)限的B可訪問O?；谏矸莸牟呗裕夯趥€(gè)人的策略根據(jù)哪些用戶可對(duì)一個(gè)目標(biāo)實(shí)施哪一種行為的列表來表示。等價(jià)于用一個(gè)目標(biāo)的訪問矩陣列來描述基礎(chǔ)(前提)：一個(gè)隱含的、或者顯式的缺省策略例如，全部權(quán)限否決最小特權(quán)原則：要求最大限度地限制每個(gè)用戶為實(shí)施授權(quán)任務(wù)所需要的許可集合在不同的環(huán)境下，缺省策略不盡相同，例如，在公開的布告板環(huán)境中，所有用戶都可以得到所有公開的信息對(duì)于特定的用戶，有時(shí)候需要提供顯式的否定許可例如，對(duì)于違紀(jì)的內(nèi)部員工，禁止訪問內(nèi)部一些信息基于身份的策略：基于組的策略一組用戶對(duì)于一個(gè)目標(biāo)具有同樣的訪問許可。是基于身份的策略的另一種情形相當(dāng)于，把訪問矩陣中多個(gè)行壓縮為一個(gè)行。實(shí)際使用時(shí)先定義組的成員對(duì)用戶組授權(quán)組的成員可以改變表示和實(shí)現(xiàn)基于組的策略在表示和實(shí)現(xiàn)上更容易和更有效在基于個(gè)人的策略中,對(duì)于系統(tǒng)中每一個(gè)需要保護(hù)的客體，為其附加一個(gè)訪問控制表，表中包括主體標(biāo)識(shí)符（ID）和對(duì)該客體的訪問模式對(duì)客體I將屬于同一部門或工作性質(zhì)相同的人歸為一組（Group),分配組名GN，主體標(biāo)識(shí)=ID1.GN對(duì)客體IID1.reID2.rID3.e……Idn.rew張三.CRYPTO.re*.CRYPTO.re四.CRYPTO.re*.*.nWinxp的訪問控制利用組管理對(duì)資源的訪問

組是用戶帳號(hào)的集合，利用組而不用單個(gè)的用戶管理對(duì)資源的訪問可以簡(jiǎn)化對(duì)網(wǎng)絡(luò)資源的管理。利用組可以一次對(duì)多個(gè)用戶授予權(quán)限，而且在我們對(duì)一個(gè)組設(shè)置一定權(quán)限后，以后要將相同的權(quán)限授予別的組或用戶時(shí)只要將該用戶或組添加進(jìn)該組即可。只要運(yùn)行組策略編輯器（gpedit.msc）在左側(cè)窗格中逐極展開“‘本地計(jì)算機(jī)’策略”→“用戶配置”→“管理模板”→“控制面板”分支，然后將右側(cè)窗格的“禁止訪問控制面板”策略啟用即可。此項(xiàng)設(shè)置可以防止“控制面板”程序文件（Control.exe）的啟動(dòng)。其結(jié)果是，他人將無法啟動(dòng)“控制面板”（或運(yùn)行任何“控制面板”項(xiàng)目）。另外，這個(gè)設(shè)置將從“開始”菜單中刪除“控制面板”。同時(shí)這個(gè)設(shè)置還從Windows資源管理器中刪除“控制面板

防止用戶使用“添加或刪除程序”利用NTFS管理數(shù)據(jù)利用了NTFS文件系統(tǒng)就可以在每個(gè)文件或文件夾上對(duì)每個(gè)用戶或組定義諸如讀、寫、列出文件夾內(nèi)容、讀和執(zhí)行、修改、全面控制等權(quán)限，甚至還可以定義一些特殊權(quán)限NTFS用訪問控制列表(ACL)來記錄被授予訪問該文件或文件夾的所有用戶、帳號(hào)、組、計(jì)算機(jī)，還包括他們被授予的訪問權(quán)限。您

在“控制面板”中，“添加或刪除程序”項(xiàng)目允許您安裝、卸載、修復(fù)并添加和刪除自主訪問控制的訪問類型訪問許可與訪問模式描述了主體對(duì)客體所具有的控制權(quán)與訪問權(quán).訪問許可定義了改變?cè)L問模式的能力或向其它主體傳送這種能力的能力.訪問模式則指明主體對(duì)客體可進(jìn)行何種形式的特定的訪問操作:讀\寫\運(yùn)行.訪問許可(AccessPermission)(1)等級(jí)型的(Hierarchical)(2)有主型的(Owner)

對(duì)每個(gè)客體設(shè)置一個(gè)擁有者(通常是客體的生成者).擁有者是唯一有權(quán)修改客體訪問控制表的主體,擁有者對(duì)其客體具有全部控制權(quán).(3)自由型的(Laissez-faire)最高領(lǐng)導(dǎo)(系統(tǒng)操作員)部門領(lǐng)導(dǎo)部門領(lǐng)導(dǎo)科組領(lǐng)導(dǎo)科組領(lǐng)導(dǎo)科組領(lǐng)導(dǎo)科組領(lǐng)導(dǎo)成員成員成員成員成員成員成員成員訪問模式AccessMode系統(tǒng)支持的最基本的保護(hù)客體:文件,對(duì)文件的訪問模式設(shè)置如下:

（1）讀-拷貝(Read-copy)

（2）寫-刪除（write-delete）（3）運(yùn)行(Execute)

（4）無效(Null)強(qiáng)制訪問控制特點(diǎn)：取決于能用算法表達(dá)的并能在計(jì)算機(jī)上執(zhí)行的策略。策略給出資源受到的限制和實(shí)體的安全級(jí)別，對(duì)資源的訪問取決于實(shí)體的安全級(jí)別而非實(shí)體的身份。MAC決策在批準(zhǔn)一個(gè)訪問之前需要進(jìn)行安全級(jí)別信息和限制信息的比較。（1）將主體和客體分級(jí)，根據(jù)主體和客體的級(jí)別標(biāo)記來決定訪問模式。如，絕密級(jí)，機(jī)密級(jí)，秘密級(jí)，無密級(jí)。（2）通過安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。強(qiáng)制訪問控制實(shí)現(xiàn)機(jī)制-安全標(biāo)簽安全標(biāo)簽是定義在目標(biāo)上的一組安全屬性信息項(xiàng)。在訪問控制中，一個(gè)安全標(biāo)簽隸屬于一個(gè)用戶、一個(gè)目標(biāo)、一個(gè)訪問請(qǐng)求或傳輸中的一個(gè)訪問控制信息。標(biāo)簽是一種可應(yīng)用于文件、目錄或系統(tǒng)其他客體的安全屬性，它也可以被認(rèn)為是一種機(jī)密性印鑒。當(dāng)一個(gè)文件被施以標(biāo)簽時(shí)，其標(biāo)簽會(huì)描述這一文件的安全參數(shù)，并只允許擁有相似安全性設(shè)置的文件、用戶、資源等訪問該文件。最通常的用途是支持多級(jí)訪問控制策略。

在處理一個(gè)訪問請(qǐng)求時(shí)，目標(biāo)環(huán)境比較請(qǐng)求上的標(biāo)簽和目標(biāo)上的標(biāo)簽，應(yīng)用策略規(guī)則（如BellLapadula規(guī)則）決定是允許還是拒絕訪問。

（3）其訪問控制關(guān)系分為：

上讀/下寫，下讀/上寫（完整性）（機(jī)密性）下讀（readdown）：用戶級(jí)別大于文件級(jí)別的讀操作；上寫（Writeup）：用戶級(jí)別小于文件級(jí)別的寫操作；下寫（Writedown）：用戶級(jí)別等于文件級(jí)別的寫操作；上讀（readup）：用戶級(jí)別小于文件級(jí)別的讀操作；上讀/下寫即不允許低信任級(jí)別的用戶讀高敏感度的信息，也不允許高敏感度的信息寫入低敏感度區(qū)域，禁止信息從高級(jí)別流向低級(jí)別。下讀/上寫在實(shí)際應(yīng)用中，完整性保護(hù)主要是為了避免應(yīng)用程序修改某些重要的系統(tǒng)程序或系統(tǒng)數(shù)據(jù)庫。

MACInformationFlow

TSSCUTSSCUR/WWR/WRR/WRWRRRR/WRWWWWSubjectsObjectsInformationFlow密級(jí)英文絕密TSTopSecret秘密SSecret機(jī)密CConfidential無密級(jí)UUnclassified自主/強(qiáng)制訪問的問題自主訪問控制（弱）配置的粒度小配置的工作量大，效率低強(qiáng)制訪問控制（強(qiáng)）配置的粒度大缺乏靈活性二者工作量大，不便管理例：1000主體訪問10000客體，須1000萬次配置。如每次配置需1秒，每天工作8小時(shí)，就需

10，000，000/（3600*8）

=347.2天基于角色的策略與現(xiàn)代商業(yè)環(huán)境相結(jié)合的產(chǎn)物起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念10yearhistory角色的概念

Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity

角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權(quán)限的集合基于角色的訪問控制的實(shí)例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員訪問控制策略的一個(gè)例子如下：（1）允許一個(gè)出納員修改顧客的帳號(hào)記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號(hào)的注冊(cè)項(xiàng)（2）允許一個(gè)分行管理者修改顧客的帳號(hào)記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號(hào)的注冊(cè)項(xiàng)，也允許創(chuàng)建和終止帳號(hào)（3）允許一個(gè)顧客只詢問他自己的帳號(hào)的注冊(cè)項(xiàng)（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊(cè)項(xiàng)和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號(hào)信息（5）允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情特點(diǎn)該策略陳述易于被非技術(shù)的組織策略者理解;同時(shí)也易于映射到訪問控制矩陣或基于組的策略陳述。同時(shí)具有基于身份策略的特征，也具有基于規(guī)則的策略的特征。在基于組或角色的訪問控制中，一個(gè)個(gè)人用戶可能是不只一個(gè)組或角色的成員，有時(shí)又可能有所限制。

RBAC與傳統(tǒng)訪問控制的差別增加一層間接性帶來了靈活性RBAC參考模型CoreRBACHierarchicalRBACStaticSeparationofDutyRelationsDynamicSeparationofDutyrelationsCoreRBAC包括五個(gè)基本數(shù)據(jù)元素:

用戶users(USERS)、角色roles（ROLES）、目標(biāo)objects（OBS）、操作operations(OPS)、許可權(quán)permissions(PRMS)關(guān)系：多對(duì)多，用戶被分配一定角色，角色被分配一定的許可權(quán)會(huì)話sessions:是用戶與激活的角色集合之間的映射CoreRBACUSERS:可以是人、設(shè)備、進(jìn)程Permission:是對(duì)被保護(hù)目標(biāo)執(zhí)行O